[РЕШЕНО] Касперский не обнаруживает Zam64.sys и ZamGuard64.sys

[Couita]

Здравствуйте! 
Подозреваю, что я заражен каким-то вирусом, или же остались его следы. Ранее до Касперского загрузил зараженный установщик игры (Trojan-Dropper), неизвестно, что он выполнил.
Dr.Web CureIt! обнаруживает zam64.sys и zamguard64.sys.

CollectionLog-2025.03.24-11.59.zip

[Sandor]

Здравствуйте!

 

Найдите отчёт "доктора" вида cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

+

Цитата

O23 - Driver R: ZAM - C:\WINDOWS\System32\drivers\zam64.sys (sign: 'Zemana Ltd.')
O23 - Driver R: ZAM - C:\WINDOWS\System32\drivers\zamguard64.sys (sign: 'Zemana Ltd.')

Это следы бывшей установки антивируса Zemana.

 

Чистка системы после некорректного удаления антивируса.

[Couita]

Отчеты.

cureit.zip Logs.zip drivers.zip

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  ProxyServer: [S-1-5-21-441121067-10831908-3394159381-1000] => 127.0.0.1:2080
  2025-03-23 09:54 - 2025-03-24 12:35 - 000865097 _____ C:\WINDOWS\ZAM.krnl.trace
  2025-03-23 09:54 - 2025-03-24 12:35 - 000859819 _____ C:\WINDOWS\ZAM_Guard.krnl.trace
  2025-03-16 20:03 - 2025-03-16 20:03 - 000203680 ____N (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zamguard64.sys
  2025-03-16 20:03 - 2025-03-16 20:03 - 000203680 ____N (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zam64.sys
  2025-03-16 20:03 - 2025-03-16 20:03 - 000000000 ____D C:\Users\Couita\AppData\Local\Zemana
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\bidplfjf.sys:changelist [826]
  AlternateDataStreams: C:\WINDOWS\system32\Drivers\ttmqwzib.sys:changelist [1394]
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Couita]

Исключение в Windows Defender создал сам, срабатывает на все при выключении Касперского.
 

Fixlog.zip

[Sandor]

"Проблема" решена?

[Couita]

Да, решена. Security Check будет?

 

[Sandor]

Сделайте, конечно:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Couita]

SecurityCheck.zip

[Sandor]

Исправьте по возможности:

 

CrystalDiskInfo 9.5.0 v.9.5.0 Внимание! Скачать обновления
Microsoft SQL Server 2012 Data-Tier App Framework  v.11.0.2316.0 Данная программа больше не поддерживается разработчиком.
Oracle VM VirtualBox 4.0.14 v.4.0.14 Внимание! Скачать обновления
Microsoft SQL Server 2012 Express LocalDB  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Management Objects  (x64) v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Transact-SQL ScriptDom  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Transact-SQL Compiler Service  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
VMware Workstation v.17.6.0 Внимание! Скачать обновления
Figma v.125.1.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.10411.0 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight 4 SDK - русский v.4.0.60310.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Management Objects  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft Silverlight 5 SDK - RUS v.5.0.61118.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.031.0217.0003 Внимание! Скачать обновления
Discord v.1.0.9175 Внимание! Скачать обновления
AmneziaVPN v.4.8.2.3 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".